Umowa powierzenia przetwarzania danych osobowych

1.1. Przedmiotem niniejszej DPA jest powierzenie przez Administratora na rzecz Podmiotu przetwarzającego przetwarzania danych osobowych w związku ze świadczeniem usług platformy GymCore.

1.2. Podmiot przetwarzający przetwarza dane osobowe wyłącznie w imieniu Administratora i na jego udokumentowane polecenie, w zakresie niezbędnym do realizacji Umowy o świadczenie usług SaaS.

1.3. Powierzenie przetwarzania danych nie stanowi przeniesienia statusu administratora danych. Administrator pozostaje w pełni odpowiedzialny za zgodność przetwarzania z przepisami RODO.

2.1. Administrator — Klient (operator siłowni lub klubu fitness), który decyduje o celach i sposobach przetwarzania danych osobowych swoich członków i klientów.

2.2. Podmiot przetwarzający (Procesor) — CREOTON TOMASZ PRZESTACKI, NIP: 6172150102, działający jako dostawca platformy GymCore, przetwarzający dane osobowe w imieniu i na polecenie Administratora.

2.3. Dane osobowe — wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, przetwarzane w ramach Platformy.

2.4. Podpowierzenie — przekazanie przez Podmiot przetwarzający całości lub części operacji przetwarzania danych innemu podmiotowi (dalszy procesor / sub-procesor).

2.5. Naruszenie ochrony danych — naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.

2.6. Pozostałe pojęcia użyte w DPA mają znaczenie nadane im w RODO oraz w Umowie o świadczenie usług SaaS GymCore.

3.1. Podmiot przetwarzający przetwarza dane osobowe wyłącznie w celu świadczenia usług Platformy GymCore na rzecz Administratora, w tym:

• zarządzania członkostwami i karnetami,
• obsługi kontroli dostępu (RFID/NFC/QR),
• zarządzania zapisami na zajęcia grupowe i wizyty,
• przetwarzania płatności online (we współpracy z operatorami płatności),
• wysyłania powiadomień SMS i email w imieniu Administratora,
• generowania raportów i analityk,
• obsługi panelu klienta (self-service),
• prowadzenia strony www siłowni (jeśli aktywowana).

3.2. Operacje przetwarzania obejmują: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesyłanie, rozpowszechnianie, usuwanie lub niszczenie danych.

3.3. Przetwarzanie trwa przez cały okres obowiązywania Umowy o świadczenie usług SaaS oraz przez okres niezbędny do realizacji obowiązków wynikających z przepisów prawa po jej rozwiązaniu.

4.1. Kategorie osób, których dane dotyczą:

• członkowie i klienci klubu fitness Administratora,
• pracownicy i instruktorzy Administratora,
• osoby odwiedzające stronę www siłowni (dane z formularzy kontaktowych).

4.2. Rodzaje przetwarzanych danych osobowych:

• Dane identyfikacyjne: imię, nazwisko, data urodzenia, PESEL (opcjonalnie), numer karty RFID/NFC
• Dane kontaktowe: adres email, numer telefonu, adres zamieszkania (opcjonalnie)
• Dane finansowe: historia transakcji, stan portfela, dane do faktury (NIP, nazwa firmy)
• Dane o korzystaniu z usług: historia wejść, zapisy na zajęcia, wizyty, karnety, obecności
• Dane zdrowotne (opcjonalnie): pomiary ciała (waga, BMI itp.) — wyłącznie jeśli Administrator aktywuje ten moduł i posiada odrębną podstawę prawną (zgoda)
• Dane wizerunkowe: zdjęcie profilowe (opcjonalne, do weryfikacji tożsamości na terminalu)
• Dane techniczne: adres IP, identyfikator urządzenia, logi aktywności w Platformie

4.3. Podmiot przetwarzający nie przetwarza szczególnych kategorii danych osobowych (art. 9 RODO) z wyjątkiem danych zdrowotnych wymienionych w pkt 4.2, o ile Administrator wyraźnie aktywował odpowiedni moduł i zapewnił odrębną podstawę prawną.

5.1. Podmiot przetwarzający zobowiązuje się do:

• przetwarzania danych osobowych wyłącznie na udokumentowane polecenie Administratora (w tym na podstawie niniejszej DPA i Umowy), chyba że obowiązek przetwarzania wynika z przepisów prawa UE lub prawa polskiego,
• zapewnienia, że osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy lub podlegają ustawowemu obowiązkowi zachowania tajemnicy,
• wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku (patrz: sekcja 9),
• przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego (podpowierzenia, patrz: sekcja 7),
• pomagania Administratorowi w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą (patrz: sekcja 11),
• pomagania Administratorowi w zapewnianiu przestrzegania obowiązków z art. 32-36 RODO (bezpieczeństwo, ocena skutków, uprzednie konsultacje),
• po zakończeniu świadczenia usług — usunięcia lub zwrotu danych osobowych i usunięcia istniejących kopii (patrz: sekcja 13),
• udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków z art. 28 RODO oraz umożliwienia przeprowadzania audytów (patrz: sekcja 12).

5.2. Podmiot przetwarzający niezwłocznie informuje Administratora, jeżeli jego zdaniem polecenie dotyczące przetwarzania narusza RODO lub inne przepisy o ochronie danych.

5.3. Podmiot przetwarzający prowadzi rejestr czynności przetwarzania wykonywanych w imieniu Administratora zgodnie z art. 30 ust. 2 RODO.

6.1. Administrator zobowiązuje się do:

• posiadania odpowiedniej podstawy prawnej przetwarzania danych osobowych swoich członków (art. 6 RODO, a w przypadku danych zdrowotnych — art. 9 RODO),
• spełniania obowiązku informacyjnego wobec osób, których dane dotyczą (art. 13/14 RODO), w tym informowania o powierzeniu przetwarzania Podmiotowi przetwarzającemu,
• wydawania Podmiotowi przetwarzającemu udokumentowanych poleceń dotyczących przetwarzania danych zgodnych z RODO,
• nadzorowania przetwarzania danych przez Podmiot przetwarzający, w tym korzystania z prawa do audytu,
• niezwłocznego informowania Podmiotu przetwarzającego o wszelkich żądaniach osób, których dane dotyczą, wymagających współpracy Podmiotu przetwarzającego.

6.2. Administrator odpowiada za legalność zbierania danych osobowych od swoich członków. Podmiot przetwarzający nie weryfikuje, czy Administrator posiada odpowiednią podstawę prawną.

6.3. Administrator jest odpowiedzialny za konfigurację Platformy zgodnie z wymogami ochrony danych (np. włączenie/ wyłączenie modułu pomiarów ciała, konfiguracja zgód marketingowych).

7.1. Administrator wyraża ogólną zgodę na korzystanie przez Podmiot przetwarzający z dalszych podmiotów przetwarzających (sub-procesorów) w zakresie niezbędnym do świadczenia usług Platformy.

7.2. Na dzień zawarcia niniejszej DPA Podmiot przetwarzający korzysta z następujących sub-procesorów:

7.3. Podmiot przetwarzający informuje Administratora o zamiarze dodania lub zmiany sub-procesora z 14-dniowym wyprzedzeniem (powiadomienie email). Administrator ma prawo zgłosić uzasadniony sprzeciw w ciągu 14 dni od otrzymania powiadomienia.

7.4. W przypadku sprzeciwu Administratora Strony podejmą negocjacje w dobrej wierze. Jeżeli nie osiągną porozumienia w ciągu 30 dni, Administrator ma prawo wypowiedzieć Umowę z zachowaniem 30-dniowego okresu wypowiedzenia.

7.5. Podmiot przetwarzający zapewnia, że każdy sub-procesor jest zobowiązany umową do przestrzegania co najmniej takich samych obowiązków ochrony danych jak wynikające z niniejszej DPA.

7.6. Podmiot przetwarzający ponosi pełną odpowiedzialność za działania i zaniechania sub-procesorów jak za własne.

8.1. Dane osobowe przetwarzane w ramach Platformy przechowywane są na serwerach zlokalizowanych w Unii Europejskiej.

8.2. Podmiot przetwarzający nie przekazuje danych osobowych do państw trzecich (poza Europejski Obszar Gospodarczy) bez uprzedniej zgody Administratora.

8.3. W przypadku konieczności przekazania danych poza EOG, Podmiot przetwarzający zapewni odpowiedni mechanizm transferu zgodny z rozdziałem V RODO (decyzja o adekwatności, standardowe klauzule umowne lub inny przewidziany prawem instrument).

8.4. Podmiot przetwarzający poinformuje Administratora o każdym planowanym transferze danych poza EOG z minimum 30-dniowym wyprzedzeniem.

9.1. Podmiot przetwarzający wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku (art. 32 RODO), w szczególności:

Środki techniczne:

• szyfrowanie danych w transmisji (TLS 1.2+) i w spoczynku (AES-256),
• automatyczne kopie zapasowe co 6 godzin z retencją 30 dni,
• izolacja danych między kontami Klientów (tenant isolation),
• hashowanie haseł użytkowników (bcrypt z solą),
• ochrona przed atakami DDoS, SQL injection, XSS,
• monitorowanie bezpieczeństwa i alertowanie w czasie rzeczywistym,
• zarządzanie dostępem oparte na rolach (RBAC) w Platformie.

Środki organizacyjne:

• polityka bezpieczeństwa informacji i procedury wewnętrzne,
• szkolenia personelu z zakresu ochrony danych osobowych,
• zasada minimalnych uprawnień (least privilege) dla pracowników,
• procedury reagowania na incydenty bezpieczeństwa,
• regularne testy bezpieczeństwa i audyty wewnętrzne.

9.2. Podmiot przetwarzający regularnie testuje, mierzy i ocenia skuteczność środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

10.1. Podmiot przetwarzający niezwłocznie, nie później niż w ciągu 24 godzin od stwierdzenia naruszenia, zgłasza Administratorowi każde naruszenie ochrony danych osobowych.

10.2. Zgłoszenie naruszenia zawiera co najmniej:

• opis charakteru naruszenia,
• kategorie i przybliżoną liczbę osób, których dane dotyczą,
• kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie,
• opis możliwych konsekwencji naruszenia,
• opis środków zastosowanych lub proponowanych w celu zaradzenia naruszeniu.

10.3. Podmiot przetwarzający współpracuje z Administratorem przy:

• ocenie ryzyka związanego z naruszeniem,
• zgłoszeniu naruszenia do Prezesa UODO (jeśli wymagane przez art. 33 RODO) — obowiązek zgłoszenia ciąży na Administratorze,
• powiadomieniu osób, których dane dotyczą (jeśli wymagane przez art. 34 RODO),
• wdrożeniu środków naprawczych.

10.4. Podmiot przetwarzający dokumentuje wszelkie naruszenia ochrony danych, w tym okoliczności, skutki i podjęte działania naprawcze.

11.1. Podmiot przetwarzający pomaga Administratorowi w wywiązywaniu się z obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie praw z art. 15-22 RODO:

• prawo dostępu do danych (art. 15),
• prawo do sprostowania danych (art. 16),
• prawo do usunięcia danych — „prawo do bycia zapomnianym” (art. 17),
• prawo do ograniczenia przetwarzania (art. 18),
• prawo do przenoszenia danych (art. 20),
• prawo do sprzeciwu (art. 21).

11.2. Platforma GymCore udostępnia Administratorowi narzędzia umożliwiające samodzielną realizację powyższych praw:

• Eksport danych — możliwość pobrania wszystkich danych członka w formacie CSV/JSON,
• Anonimizacja — funkcja trwałego zanonimizowania danych członka (zastąpienie danych identyfikacyjnych),
• Usunięcie konta — możliwość trwałego usunięcia konta członka wraz ze wszystkimi powiązanymi danymi,
• Edycja profilu — możliwość sprostowania danych osobowych.

11.3. Jeżeli osoba, której dane dotyczą, zwróci się bezpośrednio do Podmiotu przetwarzającego z żądaniem realizacji swoich praw, Podmiot przetwarzający niezwłocznie przekaże to żądanie Administratorowi i poinformuje osobę o konieczności skierowania żądania do Administratora.

11.4. Podmiot przetwarzający realizuje żądanie dotyczące danych w ciągu 5 dni roboczych od otrzymania udokumentowanego polecenia Administratora.

12.1. Podmiot przetwarzający udostępnia Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków wynikających z art. 28 RODO.

12.2. Administrator ma prawo przeprowadzić audyt (samodzielnie lub za pośrednictwem niezależnego audytora) w celu weryfikacji przestrzegania postanowień niniejszej DPA.

12.3. Warunki przeprowadzania audytu:

• Administrator powiadamia Podmiot przetwarzający o zamiarze przeprowadzenia audytu z 30-dniowym wyprzedzeniem,
• audyt przeprowadzany jest w godzinach roboczych, nie częściej niż raz na 12 miesięcy (chyba że wymaga tego organ nadzorczy lub naruszenie danych),
• audytor jest zobowiązany do zachowania poufności,
• koszty audytu ponosi Administrator (z wyjątkiem audytów wynikających z naruszenia DPA przez Podmiot przetwarzający).

12.4. Podmiot przetwarzający może zaproponować alternatywnie udostępnienie wyników ostatniego audytu bezpieczeństwa przeprowadzonego przez niezależny podmiot, certyfikatów bezpieczeństwa lub raportów zgodności — jako uzupełnienie lub zamiennik audytu na miejscu.

13.1. Niniejsza DPA wchodzi w życie z dniem zawarcia Umowy o świadczenie usług SaaS (lub akceptacji niniejszego dokumentu) i obowiązuje przez cały okres trwania Umowy.

13.2. Rozwiązanie Umowy o świadczenie usług automatycznie powoduje wygaśnięcie niniejszej DPA, z zastrzeżeniem obowiązków dotyczących zwrotu i usunięcia danych.

13.3. Po rozwiązaniu Umowy Podmiot przetwarzający:

• umożliwia Administratorowi pobranie pełnego eksportu danych w ciągu 30 dni (w formacie CSV lub JSON),
• po upływie 30-dniowego okresu na eksport — trwale usuwa wszystkie dane osobowe przetwarzane w imieniu Administratora, w tym kopie zapasowe (usunięcie kopii zapasowych następuje w ciągu kolejnych 30 dni, zgodnie z cyklem rotacji backupów),
• na żądanie Administratora potwierdza pisemnie usunięcie danych.

13.4. Obowiązek usunięcia danych nie dotyczy danych, których przechowywanie jest wymagane przez przepisy prawa (np. dokumentacja księgowa — 5 lat, logi dostępu do danych osobowych — okres wymagany przez RODO).

13.5. Postanowienia dotyczące poufności, odpowiedzialności i bezpieczeństwa danych obowiązują również po wygaśnięciu DPA, do czasu trwałego usunięcia wszystkich danych osobowych.

14.1. Niniejsza DPA podlega prawu polskiemu. W sprawach nieuregulowanych zastosowanie mają przepisy RODO, polskiej ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. oraz Kodeksu cywilnego.

14.2. Wszelkie spory wynikłe z DPA Strony będą rozstrzygać polubownie. W przypadku braku porozumienia, właściwym będzie sąd powszechny właściwy dla siedziby Podmiotu przetwarzającego.

14.3. Podmiot przetwarzający zastrzega sobie prawo do aktualizacji niniejszej DPA w przypadku zmian przepisów prawa, wytycznych organu nadzorczego lub zmian w sposobie przetwarzania danych. O zmianach Administrator zostanie powiadomiony z 30-dniowym wyprzedzeniem.

14.4. Nieważność poszczególnych postanowień DPA nie wpływa na ważność pozostałych postanowień.

14.5. Niniejsza DPA stanowi integralną część Umowy o świadczenie usług SaaS GymCore i jest wiążąca od momentu jej akceptacji przez Administratora.

14.6. W przypadku sprzeczności między postanowieniami DPA a Umową, w zakresie ochrony danych osobowych pierwszeństwo mają postanowienia niniejszej DPA.